Come l’originale Framework Nazionale di Cybersecurity [3], anche la versione presentata in questo documento è basata sul Cybersecurity Framework sviluppato dal National Institute of Standards and Technology, recentemente aggiornato alla versione 1.1 [5]. In particolare, sono stati integrati i cambiamenti apportati dal NIST al Framework Core, includendo quindi elementi volti a considerare le problematiche di sicurezza delle filiere di approvvigionamento (supply chain) e ad approfondire la sicurezza dei processi di autenticazione e gestione delle identità.
La nuova versione del Framework include inoltre una serie di nuovi elementi indirizzati a guidare la corretta gestione dei dati personali, con specifico riferimento alla sicurezza degli stessi a fronte di possibili attacchi informatici. A tale scopo sono state introdotte nove nuove subcategory e una nuova category che colgono i seguenti aspetti legati alla data protection:
– i processi di data management, con particolare riferimento a quelli applicabili ai dati personali;
– le modalità di trattamento dei dati personali;
– i ruoli e le responsabilità nella gestione dei dati personali;
– la valutazione di impatto sulla protezione dei dati personali;
– le modalità di documentazione e comunicazione a seguito di incidenti che si configurino come violazione dei dati personali.
Tali elementi, assenti nella versione precedente del Framework, allineano lo stesso ai diversi standard che già trattano il problema della protezione dei dati personali e lo rendono applicabile anche in contesti in cui le regolamentazioni generali o di settore impongono specifici requisiti sul trattamento dei dati. Infine, viene introdotto un nuovo strumento per la contestualizzazione del Framework sotto forma di prototipi di contestualizzazione. Tale strumento permette di definire dei template applicabili in fase di contestualizzazione per poter integrare più facilmente nella stessa concetti legati a normative, regolamenti o best practice.
Elementi fondamentali del Framework
Il Framework eredita le tre nozioni fondamentali del Cybersecurity Framework NIST: Framework Core, Profile e Implementation Tier. Di seguito ne diamo una breve descrizione, rimandando al documento originale [5] per maggiori dettagli. Framework Core – Il core rappresenta la struttura del ciclo di vita del processo di gestione della cybersecurity, sia dal punto di vista tecnico sia organizzativo. Il core è strutturato gerarchicamente in function, category e subcategory. Le function, concorrenti e continue, sono: IDENTIFY, PROTECT, DETECT, RESPOND, RECOVER e costituiscono le principali tematiche da affrontare per operare una adeguata gestione del rischio cyber in modo strategico. Il Framework quindi definisce, per ogni function, category e subcategory, le attività abilitanti, quali processi e tecnologie, da mettere in campo per gestire la singola function. Il Framework Core presenta inoltre delle informative reference, dei riferimenti che legano la singola subcategory alle pratiche di sicurezza note previste da standard di settore (ISO, SP800-53r4, COBIT-5, SANS20 e altri) o da regolamentazioni generali vigenti (Regolamento UE 2016/679 General Data Protection Regulation, Direttiva UE 2016/1148 NIS).